다음을 통해 공유

DirectAccess 오프라인 도메인 가입

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 가이드에서는 DirectAccess를 사용하여 오프라인 do기본 조인을 수행하는 단계를 설명합니다. 오프라인 do기본 조인 중에 컴퓨터는 실제 또는 VPN 연결 없이 do기본 조인하도록 구성됩니다.

이 가이드에는 다음 섹션이 수록되어 있습니다.

  • 오프라인 do기본 조인 개요

  • 오프라인 do기본 조인에 대한 요구 사항

  • 오프라인 do기본 조인 프로세스

  • 오프라인 do기본 조인을 수행하는 단계

오프라인 do기본 조인 개요

Windows Server 2008 R2에서 도입된 do기본 컨트롤러에는 오프라인 Do기본 Join이라는 기능이 포함되어 있습니다. Djoin.exe라는 명령줄 유틸리티를 사용하면 do기본 조인 작업을 완료하는 동안 할 일기본 컨트롤러에 물리적으로 연결하지 않고도 할 일기본로 컴퓨터를 조인할 수 있습니다. Djoin.exe를 사용하는 일반적인 단계는 다음과 같습니다.

  1. djoin /provision을 실행하여 컴퓨터 계정 메타데이터를 만듭니다. 이 명령의 출력은 base-64로 인코딩된 Blob을 포함하는 .txt 파일입니다.

  2. djoin /requestODJ를 실행하여 .txt 파일의 컴퓨터 계정 메타데이터를 대상 컴퓨터의 Windows 디렉터리에 삽입합니다.

  3. 대상 컴퓨터를 다시 부팅하면 컴퓨터가 do기본 조인됩니다.

오프라인 do기본 DirectAccess 정책 시나리오 개요와 조인

DirectAccess 오프라인 do기본 조인은 Windows Server 2016, Windows Server 2012, Windows 10 및 Windows 8을 실행하는 컴퓨터가 회사 네트워크에 물리적으로 가입하거나 VPN을 통해 연결하지 않고도 할 일기본 조인하는 데 사용할 수 있는 프로세스입니다. 이렇게 하면 회사 네트워크에 연결되지 않은 위치에서 할 일기본 컴퓨터를 조인할 수 있습니다. DirectAccess에 대한 오프라인 do기본 조인은 원격 프로비저닝을 허용하도록 클라이언트에 DirectAccess 정책을 제공합니다.

do기본 조인은 컴퓨터 계정을 만들고 Windows 운영 체제를 실행하는 컴퓨터와 Active Directory do기본 간에 트러스트 관계를 설정합니다.

오프라인 참가 준비기본

  1. 컴퓨터 계정을 만듭니다.

  2. 컴퓨터 계정이 속한 모든 보안 그룹의 멤버 자격을 인벤토리로 작성합니다.

  3. 새 클라이언트에 적용할 필수 컴퓨터 인증서, 그룹 정책 및 그룹 정책 개체를 수집합니다.

. 다음 섹션에서는 Djoin.exe를 사용하여 DirectAccess 오프라인 do기본 조인을 수행하기 위한 운영 체제 요구 사항 및 자격 증명 요구 사항을 설명합니다.

운영 체제 요구 사항

Windows Server 2016, Windows Server 2012 또는 Windows 8을 실행하는 컴퓨터에서만 DirectAccess용 Djoin.exe를 실행할 수 있습니다. Djoin.exe를 실행하여 컴퓨터 계정 데이터를 AD DS로 프로비전하는 컴퓨터는 Windows Server 2016, Windows 10, Windows Server 2012 또는 Windows 8을 실행해야 합니다. do기본에 가입하려는 컴퓨터도 Windows Server 2016, Windows 10, Windows Server 2012 또는 Windows 8을 실행해야 합니다.

자격 증명 요구 사항

오프라인 do기본 조인을 수행하려면 워크스테이션을 do기본 조인하는 데 필요한 권한이 있어야 합니다. Do기본 관리s 그룹의 구성원은 기본적으로 이러한 권한을 갖습니다. Do기본 관리s 그룹의 구성원이 아닌 경우 Do기본 관리s 그룹의 구성원이 워크스테이션을 할 일에 조인할 수 있도록 다음 작업 중 하나를 완료해야 합니다기본

  • 그룹 정책을 사용하여 필요한 사용자 권한을 부여합니다. 이 방법을 사용하면 기본 컴퓨터 컨테이너 및 나중에 만든 모든 OU(조직 구성 단위)에 컴퓨터를 만들 수 있습니다(ACE(액세스 제어 항목 거부)가 추가되지 않은 경우).

  • 할 일기본 대한 기본 컴퓨터 컨테이너의 ACL(액세스 제어 목록)을 편집하여 올바른 권한을 위임합니다.

  • OU를 만들고 해당 OU에서 ACL을 편집하여 자식 만들기 - 허용 권한을 부여합니다. /machineOU 매개 변수를 djoin /provision 명령에 전달합니다.

다음 절차에서는 그룹 정책을 사용하여 사용자 권한을 부여하는 방법과 올바른 권한을 위임하는 방법을 보여 줍니다.

워크스테이션에 조인할 수 있는 권한을 사용자에게 부여합니다기본

GPMC(그룹 정책 관리 콘솔)를 사용하여 do기본 정책을 수정하거나 사용자에게 할 일에 워크스테이션을 추가할 수 있는 권한을 부여하는 설정이 있는 새 정책을 만들 수 있습니다기본.

Do기본 관리 또는 동등한 멤버 자격은 사용자 권한을 부여하는 데 필요한 최소값입니다. 로컬 및 Do기본 기본 그룹(https://go.microsoft.com/fwlink/?LinkId=83477)에서 적절한 계정 및 그룹 멤버 자격을 사용하는 방법에 대한 세부 정보를 검토합니다.

워크스테이션을 할 일에 조인할 수 있는 권한을 부여하려면기본

  1. 시작을 클릭하고 관리Istrative Tools를 클릭한 다음 그룹 정책 관리를 클릭합니다.

  2. 포리스트의 이름을 두 번 클릭하고, Do기본s를 두 번 클릭하고, 컴퓨터에 가입할 do기본 이름을 두 번 클릭하고, 기본 Do기본 정책을 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.

  3. 콘솔 트리에서 컴퓨터 구성을 두 번 클릭하고 정책을 두 번 클릭하고 Windows 설정 두 번 클릭한 다음 보안 설정 두 번 클릭하고 로컬 정책을 두 번 클릭한 다음 사용자 권한 할당을 두 번 클릭합니다.

  4. 세부 정보 창에서 수행할 워크스테이션 추가를 두 번 클릭합니다기본.

  5. 이러한 정책 설정 정의 검사 상자를 선택한 다음 사용자 또는 그룹 추가를 클릭합니다.

  6. 사용자에게 권한을 부여할 계정의 이름을 입력한 다음 확인을 두 번 클릭합니다.

오프라인 do기본 조인 프로세스

관리자 권한 명령 프롬프트에서 Djoin.exe를 실행하여 컴퓨터 계정 메타데이터를 프로비전합니다. 프로비저닝 명령을 실행하면 명령의 일부로 지정한 이진 파일에 컴퓨터 계정 메타데이터가 만들어집니다.

오프라인 do기본 조인 중에 컴퓨터 계정을 프로비전하는 데 사용되는 NetProvisionComputerAccount 함수에 대한 자세한 내용은 NetProvisionComputerAccount 함수(https://go.microsoft.com/fwlink/?LinkId=162426)를 참조하세요. 대상 컴퓨터에서 로컬로 실행되는 NetRequestOfflineDo기본Join 함수에 대한 자세한 내용은 NetRequestOfflineDo기본Join 함수(https://go.microsoft.com/fwlink/?LinkId=162427)를 참조하세요.

DirectAccess 오프라인 작업을 수행하는 단계는 조인을 수행합니다기본

오프라인 do기본 조인 프로세스에는 다음 단계가 포함됩니다.

  1. 각 원격 클라이언트에 대한 새 컴퓨터 계정을 만들고 회사 네트워크에 이미 가입된 컴퓨터에서 Djoin.exe 명령을 사용하여 프로비저닝 패키지를 생성합니다기본.

  2. DirectAccessClients 보안 그룹에 클라이언트 컴퓨터 추가

  3. 프로비저닝 패키지를 do기본 조인할 원격 컴퓨터로 안전하게 전송합니다.

  4. 프로비저닝 패키지를 적용하고 클라이언트를 do기본 조인합니다.

  5. 클라이언트를 다시 부팅하여 do기본 조인을 완료하고 연결을 설정합니다.

클라이언트에 대한 프로비저닝 패킷을 만들 때 고려해야 할 두 가지 옵션이 있습니다. 시작 마법사를 사용하여 PKI 없이 DirectAccess를 설치한 경우 아래 옵션 1을 사용해야 합니다. 고급 설치 마법사를 사용하여 PKI와 함께 DirectAccess를 설치한 경우 아래 옵션 2를 사용해야 합니다.

다음 단계를 완료하여 오프라인 do기본 조인을 수행합니다.

옵션1: PKI 없이 클라이언트에 대한 프로비저닝 패키지 만들기

  1. 원격 액세스 서버의 명령 프롬프트에서 다음 명령을 입력하여 컴퓨터 계정을 프로비전합니다.

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
옵션2: PKI를 사용하여 클라이언트에 대한 프로비저닝 패키지 만들기

  1. 원격 액세스 서버의 명령 프롬프트에서 다음 명령을 입력하여 컴퓨터 계정을 프로비전합니다.

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse
DirectAccessClients 보안 그룹에 클라이언트 컴퓨터 추가

  1. Do기본 컨트롤러의 시작 화면에서 활성을 입력하고 앱 화면에서 Active Directory 사용자 및 컴퓨터 선택합니다.

  2. 할 일기본 아래에서 트리를 확장하고 사용자 컨테이너를 선택합니다.

  3. 세부 정보 창에서 DirectAccessClients를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

  4. 구성원 탭에서 추가를 클릭합니다.

  5. 개체 유형을 클릭하고 컴퓨터를 선택한 다음 확인을 클릭합니다.

  6. 추가할 클라이언트 이름을 입력한 다음 확인을 클릭합니다.

  7. 확인을 클릭하여 DirectAccessClients 속성 대화 상자를 닫은 다음 Active Directory 사용자 및 컴퓨터 닫습니다.

프로비전 패키지를 복사한 다음 클라이언트 컴퓨터에 적용합니다.

  1. 프로비전 패키지를 저장한 원격 액세스 서버의 c:\files\provision.txt에서 클라이언트 컴퓨터의 c:\provision\provision.txt로 복사합니다.

  2. 클라이언트 컴퓨터에서 관리자 권한 명령 프롬프트를 연 다음 다음 명령을 입력하여 do기본 조인을 요청합니다.

    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos

  3. 클라이언트 컴퓨터를 다시 부팅합니다. 컴퓨터는 할 일기본 조인됩니다. 다시 부팅한 후 클라이언트가 do기본 조인되고 DirectAccess를 사용하여 회사 네트워크에 연결됩니다.

참고 항목

NetProvisionComputerAccount 함수NetRequestOfflineDo기본Join 함수